Inleiding
In dit document wordt de automatische registratie en verlenging van certificaten beschreven via de online functie Certificate Authority Proxy Function (CAPF) voor Cisco Unified Communications Manager (CUCM).
Bijgedragen door Michael Mendoza, Cisco TAC Engineer.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco Unified Communications Manager
- X.509-certificaten
- Windows Server
- Windows Active Directory (AD)
- Windows Internet Information Services (IIS)
- NT (New Technology) LAN Manager (NTLM)-verificatie
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- CUCM-versie 12.5.1.10000-22
- Windows Server 2012 R2
- IP Phone CP-8865 / Firmware: SIP 12-1-1SR1-4 en 12-5-1SR2.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Dit document behandelt de configuratie van de functie en de bijbehorende bronnen voor aanvullend onderzoek.
De tijd en datum van de server valideren
Zorg ervoor dat de Windows-server de juiste datum, tijd en tijdzone heeft geconfigureerd, omdat dit van invloed is op de geldigheidstijden voor het CA-certificaat (Certificate Authority) van de hoofdmap van de server en de certificaten die door de server zijn uitgegeven.
Computernaam van server bijwerken
Standaard heeft de computernaam van de server een willekeurige naam, zoals WIN-730K65R6BSK. Het eerste wat u moet doen voordat u AD Domain Services inschakelt, is ervoor zorgen dat de computernaam van de server wordt bijgewerkt naar wat u wilt dat de hostnaam van de server en de naam van de CA-hoofduitgever van de server zijn aan het einde van de installatie; anders zijn er veel extra stappen nodig om dit te wijzigen nadat AD-services zijn geïnstalleerd.
- Navigeer naar Lokale server, selecteer de naam van de computer om de systeemeigenschappen te openen
- Selecteer de knop Wijzigen en typ de nieuwe computernaam:

- Start de server opnieuw op om de wijzigingen toe te passen
Configureren
AD-services, gebruikers- en certificaatsjabloon
Active Directory-services inschakelen en configureren
- Selecteer in Serverbeheer de optie Rollen en functies toevoegen, selecteer Installatie op basis van rollen of functies en kies de server uit de pool (er moet er maar één in de pool zijn) en vervolgens Active Directory Domain Services:

- Ga door met het selecteren van de knop Volgende en vervolgens Installeren
- Selecteer de knop Sluiten nadat de installatie is voltooid
- Onder Serverbeheer > AD DS verschijnt een waarschuwingstabblad met de titel Configuratie vereist voor Active Directory Domain Services. Selecteer meer koppeling en vervolgens beschikbare actie om de installatiewizard te starten:

- Volg de aanwijzingen in de wizard Domeininstellingen, voeg een nieuw forest toe met de gewenste hoofddomeinnaam (gebruikt michamen.com voor dit lab) en schakel het selectievakje DNS uit wanneer dit beschikbaar is, definieer het DSRM-wachtwoord (gebruikt C1sc0123! voor dit lab):


- Moet een NetBIOS-domeinnaam opgeven (gebruikt in MICHAMEN1 in dit lab).
- Volg de wizard tot het einde. De server wordt vervolgens opnieuw opgestart om de installatie te voltooien.
- Vervolgens moet u de nieuwe domeinnaam opgeven wanneer u zich de volgende keer aanmeldt. Bijvoorbeeld MICHAMEN1\Administrator.

Certificaatservices inschakelen en configureren
- Selecteer in Serverbeheer Rollen en functies toevoegen
- Selecteer Active Directory Certificate Services en volg de aanwijzingen om de vereiste functies toe te voegen (alle beschikbare functies zijn geselecteerd uit de rolservices die voor dit lab zijn ingeschakeld)
- Controleer voor rolservices de webinschrijving van de certificeringsinstantie


- Onder Serverbeheer >AD DS moet een waarschuwingstabblad worden weergegeven met de titel Configuratie vereist voor Active Directory Certificate Services. Selecteer de meer koppeling en vervolgens de beschikbare actie:

- Navigeer in de wizard AD-CS Post Install Configuration door de volgende stappen:
- Selecteer de webinschrijvingsrollen van de certificeringsinstantie en certificeringsinstantie
- Kies Enterprise CA met opties:
- Root CA
- Een nieuwe privésleutel maken
- Private Key gebruiken – SHA1 met standaardinstellingen
- Stel een gemeenschappelijke naam in voor de CA (moet overeenkomen met de hostnaam van de server):

- Geldigheid instellen voor 5 jaar (of meer indien gewenst)
- Selecteer de knop Volgende via de rest van de wizard
Creatie van certificaatsjabloon voor CiscoRA
- Open MMC. Selecteer het startlogo van Windows en typ mmc uit Uitvoeren
- Open een MMC-venster en voeg de volgende snap-ins toe (Gebruikt op verschillende punten van de configuratie) en selecteer OK:


- Selecteer Bestand > Opslaan en sla deze consolesessie op het bureaublad op zodat u deze snel opnieuw kunt openen
- Selecteer Certificaatsjablonen in de module Inzoomen
- Maak of kloon een sjabloon (bij voorkeur de sjabloon "Root Certification Authority" indien beschikbaar) en noem deze CiscoRA

- Wijzig de template. Klik er met de rechtermuisknop op en selecteer Eigenschappen
- Selecteer het tabblad Algemeen en stel de geldigheidsperiode in op 20 jaar (of een andere waarde indien gewenst). Zorg ervoor dat op dit tabblad de waarden "weergavenaam" en "naam" van de sjabloon overeenkomen

- Selecteer het tabblad Extensies, selecteer Toepassingsbeleid en selecteer Bewerken

- Verwijder alle beleidsregels die worden weergegeven in het venster dat wordt weergegeven
- Selecteer het tabblad Onderwerpnaam en selecteer het keuzerondje Levering in aanvraag
- Selecteer het tabblad Beveiliging en geef alle rechten voor alle groepen/gebruikersnamen die worden weergegeven

Maak de certificaatsjabloon beschikbaar voor uitgifte
- Selecteer in de MMC-module Certificeringsinstantie en vouw de mappenstructuur uit om de map Certificaatsjablonen te vinden
- Klik met de rechtermuisknop in de witte ruimte in het kader dat Naam en Doel bevat
- Selecteer nieuw en uit te geven certificaatsjabloon
- Selecteer de nieuw gemaakte en bewerkte CiscoRA-sjabloon

Active Directory CiscoRA-account maken
- Navigeer naar MMC-invoegtoepassingen en selecteer Active Directory-gebruikers en -computers
- Selecteer de map Gebruikers in de structuur in het meest linkse deelvenster
- Klik met de rechtermuisknop in de witte ruimte in het kader dat Naam, Type en Beschrijving bevat
- Selecteer Nieuw en Gebruiker
- Maak de CiscoRA-account met gebruikersnaam/wachtwoord (ciscora/Cisco123 werd gebruikt voor dit lab) en selecteer het selectievakje Wachtwoord vervalt nooit wanneer het wordt weergegeven

IIS-verificatie en SSL-bindingsconfiguratie
NTLM inschakelen Verificatie
- Navigeer naar MMC-invoegtoepassingen en selecteer de naam van uw server onder de module Internet Information Services (IIS) Manager
- De lijst met functies wordt in het volgende frame weergegeven. Dubbelklik op het pictogram van de verificatiefunctie

- Markeer Windows-verificatie en selecteer de optie Inschakelen in het kader Handelingen (rechterdeelvenster)

- Het deelvenster Handelingen geeft de optie Geavanceerde instellingen weer; selecteer deze en schakel de optie Verificatie kernelmodus inschakelen uit

- Selecteer Providers en zet NTML op volgorde en Onderhandel.

Het identiteitscertificaat voor de webserver genereren
Als dit nog niet het geval is, moet u een certificaat en een identiteitscertificaat voor uw webservice genereren dat is ondertekend door de CA, omdat CiscoRA er geen verbinding mee kan maken als het certificaat van de webserver zelfondertekend is:
- Selecteer uw webserver in de module IIS en dubbelklik op het pictogram van de functie Servercertificaten:

- Standaard kunt u één certificaat zien dat daar wordt vermeld; dat is het zelf ondertekende root-CA-cert; vanuit het menu Acties selecteert u de optie Domeincertificaat maken. Voer de waarden in de configuratiewizard in om uw nieuwe certificaat te maken. Controleer of de algemene naam een oplosbare FQDN (Fully Qualified Domain Name) is en selecteer Volgende:

- Selecteer het certificaat van uw root-CA als uitgever en selecteer Voltooien:

- U kunt beide zien, het CA-certificaat en het identiteitscertificaat van uw webserver:

Webserver SSL-binding
- Selecteer een site in de structuurweergave (u kunt de standaardwebsite gebruiken of deze gedetailleerder maken voor specifieke sites) en selecteer Bindingen in het deelvenster Handelingen. Dit brengt de bindingen-editor naar voren waarmee u bindingen voor uw website kunt maken, bewerken en verwijderen. Selecteer Toevoegen om uw nieuwe SSL-binding aan de site toe te voegen.

- De standaardinstellingen voor een nieuwe binding zijn ingesteld op HTTP op poort 80. Selecteer https in de vervolgkeuzelijst Type. Selecteer het zelfondertekende certificaat dat u in de vorige sectie hebt gemaakt in de vervolgkeuzelijst SSL-certificaat en selecteer OK.

- Nu hebt u een nieuwe SSL-binding op uw site en het enige dat overblijft, is om te controleren of deze werkt door de optie Bladeren *:443 (https) in het menu te selecteren en ervoor te zorgen dat de standaard IIS-webpagina HTTPS gebruikt:


- Vergeet niet om de IIS-service opnieuw te starten na configuratiewijzigingen. Gebruik de optie Opnieuw starten in het deelvenster Handelingen.
CUCM-configuratie

- Navigeer naar Beveiliging > Certificaatbeheer vanaf de pagina Besturingssysteem en selecteer de knop Certificaat/certificaatketen uploaden om het CA-certificaat te uploaden met het doel ingesteld op CAPF-trust.

... Op dit punt is het ook een goed idee om hetzelfde CA-certificaat als CallManager-trust te uploaden omdat het nodig is als beveiligde signaalcodering is ingeschakeld (of zal worden ingeschakeld) voor de eindpunten; wat waarschijnlijk is als het cluster zich in de gemengde modus bevindt.
- Ga naar Systeem > Serviceparameters. Selecteer de Unified CM Publisher-server in het serverveld en de Cisco Certificate Authority-proxyfunctie in het veld Service
- Stel de waarde van Certificaatverlener in op Eindpunt voor Online CA en voer de waarden in voor de velden Online CA-parameters. Zorg ervoor dat u de FQDN van de webserver gebruikt, de naam van de certificaatsjabloon die eerder is gemaakt (CiscoRA), het CA-type als Microsoft CA en gebruik de referenties van de eerder gemaakte CiscoRA-gebruikersaccount

- Een pop-upvenster geeft aan dat de CAPF-service opnieuw moet worden gestart. Maar activeer eerst de Cisco Certificate Enrollment Service via Cisco Unified Serviceability > Tools > Service Activation, selecteer de uitgever in het veld Server en vink het selectievakje Cisco Certificate Enrollment Service aan en selecteer vervolgens de knop Opslaan:

Verifiëren
IIS-certificaten verifiëren
- Navigeer vanuit een webbrowser op een pc met connectiviteit met de server (bij voorkeur in hetzelfde netwerk als de CUCM Publisher) naar URL:
https://YOUR_SERVER_FQDN/certsrv/
- Waarschuwing voor certificaat niet-vertrouwd wordt weergegeven. Voeg de uitzondering toe en controleer het certificaat. Zorg ervoor dat het overeenkomt met de verwachte FQDN:

- Nadat u de uitzondering hebt geaccepteerd, moet u zich authenticeren; op dit punt moet u de referenties gebruiken die eerder voor de CiscoRA-account zijn geconfigureerd:

- Na verificatie moet u de welkomstpagina van AD CS (Active Directory Certificate Services) kunnen zien:

CUCM-configuratie controleren
Voer de stappen uit die u normaal gesproken volgt om een LSC-certificaat op een van de telefoons te installeren.
Stap 1. Open de beheerpagina van CallManager, Apparaat en vervolgens Telefoon
Stap 2. Selecteer de knop Zoeken om de telefoons weer te geven
Stap 3. Selecteer de telefoon waarop u de LSC wilt installeren
Stap 4. Scroll omlaag naar de informatie over de proxy-functie van de certificeringsinstantie (CAPF)
Stap 5. Selecteer de optie Installeren/upgraden in de certificaatbewerking.
Stap 6. Selecteer de verificatiemodus. (Met Null String is prima voor testdoeleinden)
Stap 7. Blader naar de bovenkant van de pagina en selecteer Opslaan en Config toepassen voor de telefoon.
Stap 8. Nadat de telefoon opnieuw is opgestart en opnieuw is geregistreerd, gebruikt u het LSC-statusfilter om te bevestigen dat de LSC met succes is geïnstalleerd.
- Open MMC vanaf de AD-server en vouw de module Certificeringsinstantie uit om de map Certificaten uitgegeven te selecteren
- Het item voor de telefoon wordt weergegeven in de overzichtsweergave, dit zijn enkele van de weergegeven details:
- Aanvraag-ID: uniek volgnummer
- Naam aanvrager: de gebruikersnaam van de geconfigureerde CiscoRA-account moet worden weergegeven
- Certificaatsjabloon: de naam van de CiscoRA-sjabloon die is gemaakt, moet worden weergegeven
- Uitgegeven algemene naam: het model van de telefoon dat is toegevoegd met de apparaatnaam moet worden weergegeven
- Effectieve datum van het certificaat en vervaldatum van het certificaat

Verwante links